Cybercriminelen Verstoppen Malware in DNS-records: Een Stille en Volhardende Bedreiging

Door /
Share on LinkedIn Share on WhatsApp

DNS-Register TXT Gebruikt voor Malware Distributie

Onderzoek onthult gevaarlijke technieken door cybercriminelen

Een recent onderzoek van het DomainTools-team heeft een geavanceerde techniek blootgelegd die door kwaadwillende actoren wordt gebruikt om malware op te slaan en te distribueren via TXT-registraties binnen het Domain Name System (DNS). Deze techniek, die al tussen 2021 en 2022 op ten minste drie domeinen werd aangetroffen, stelt aanvallers in staat om fragmenten van uitvoerbare bestanden en zelfs kwaadwillige scripts te verbergen in subdomeinen zonder argwaan te wekken.

Het DNS, dat functioneert als een digitale “telefoonboek” en domeinnamen omzet naar IP-adressen, wordt door deze aanvallers misbruikt. De TXT-registraties, oorspronkelijk bedoeld voor leesbare informatie over een domein, zoals e-mailvalidatie, zijn nu een potentieel wapen voor cybercriminaliteit geworden.

Hoe werkt deze aanval?

De ontdekte procedure begint met het opdelen van bestanden (zoals afbeeldingen of uitvoerbare bestanden) en het omzetten naar hexadecimale code. Deze fragmenten worden vervolgens ingevoegd in meerdere TXT-registraties van subdomeinen onder een hoofddomein, zoals bijvoorbeeld *.felix.stf.whitetreecollective[.]com. Dankzij deze fragmentatie kunnen aanvallers een volledig bestand (bijvoorbeeld een .exe) verbergen in honderden subdomeinen met sequentiële gegevens.

Met behulp van een script dat is gegenereerd via kunstmatige intelligentie, konden de onderzoekers de opgeslagen bestanden in de DNS-registraties reconstrueren. Het resultaat waren twee uitvoerbare bestanden met de volgende SHA256-hashes:

  • 7ff0ecf2953b8662ede1577e330a514f09992c18aa3c14ed77cf2ffc115b0866
  • e7b22ba761a7f853b63933ffe517cc61596710dbdee992a429ac1bc8d04186a1

Beide bestanden waren een type malware genaamd Joke Screenmate, software die destructieve of storende gedragingen simuleert, zoals het tonen van valse foutmeldingen en het vullen van het scherm met geanimeerde personages, wat de controle met de muis belemmert en de systeemprestaties degradeert.

Meer dan een grap: ingebedde kwaadwillige commando’s

Het rapport van DomainTools documenteerde ook een meer gevaarlijk gebruik van DNS-registraties: de toevoeging van gecodeerde commando’s, zoals PowerShell-scripts, die verbinding maken met command-and-control-servers (C2). In een van de registraties die aan drsmitty[.]com waren gekoppeld, werd een script aangetroffen dat fungeerde als een stager om payloads van een ander domein te downloaden: cspg[.]pw, specifiek van de route /api/v1/nps/payload/stage1. Deze URL correspondeert met het typische gedrag van een Covenant C2-server, een bekende command-and-control platform dat ook door kwaadwillende actoren wordt gebruikt.

Het is belangrijk op te merken dat het opslaan van een script in een DNS-registratie niet genoeg is om een aanval uit te voeren; er is een voorafgaande actie op het systeem van het slachtoffer nodig om de inhoud uit te voeren. Desondanks kan deze stille opslag traditionele detectietools omzeilen, vooral als het wordt gecombineerd met technieken voor sociale engineering of reeds bestaande malware.

Waarom is deze techniek zorgwekkend?

  • Persistente zonder externe interventie: DNS-registraties kunnen lange tijd actief blijven als ze niet worden gecontroleerd of overschreven, waardoor verborgen bestanden beschikbaar blijven voor reconstructie.

  • Moeilijkheid bij detectie: Omdat het gebruik van het DNS-protocol legitiem lijkt, beschouwen veel beveiligingsoplossingen het DNS-verkeer standaard niet als verdacht.

  • Vermindering van de afhankelijkheid van zichtbare kwaadaardige servers: In plaats van een externe server te vereisen om een kwaadaardig bestand te hosten, kan alle inhoud worden verspreid via de ogenschijnlijk legitieme infrastructuur van een geregistreerd domein.

Een uitdaging voor verdedigers

Dit geval illustreert hoe aanvallers blijven experimenteren met alternatieve en creatieve methoden om traditionele verdedigingssystemen te omzeilen. Het gebruik van DNS als kanaal voor malwaredistributie is niet nieuw, maar het niveau van verfijning en automatisering dat in dit geval is gezien, is zorgwekkend.

Verdedigers moeten steeds nadrukkelijker niet alleen de DNS-registraties monitoren die vanuit een netwerk worden geraadpleegd, maar ook de inhoud ervan. Tools zoals DNSDB Scout, die in dit onderzoek zijn gebruikt, kunnen nuttig zijn voor de passieve analyse van registraties om verdachte patronen te detecteren, zoals hexadecimale gecodeerde bestandsheaders.

Bovendien dienen cybersecurityteams DNS-recordanalyse op te nemen in hun dreigingsintelligentieprocessen en detectieregels toe te passen die in staat zijn om abnormaal gedrag te identificeren, zoals herhaalde aanvragen voor meerdere numerieke subdomeinen of ongebruikelijk lange inhoud in TXT-registraties.

Conclusie

Tussen 2021 en 2022 gebruikte ten minste één kwaadwillende actor het DNS-systeem als een platform voor opslag en distributie van malware, door TXT-registraties te gebruiken om zowel pranksoftware als scripts te verbergen die verbonden zijn met command-and-control servers. Deze stille technieken, hoewel niet nieuw, benadrukken de noodzaak voor continue bewaking en een diepere blik op netdiensten die traditioneel als neutraal worden beschouwd.

Malware reist niet langer alleen via e-mails of kwaadaardige links; het kan zich verstoppen in de meest onverwachte hoeken van de infrastructuur van het internet. Dit, waarschuwen experts, zou zomaar eens het begin kunnen zijn.

Share on LinkedIn Share on WhatsApp
Scroll naar boven